a cura di Mascia Mancini
Privacy: con il GDPR cambiamenti dal 25 maggio 2018
PRIVACY: dal 25 maggio 2018 è in vigore il GDPR, il nuovo Regolamento UE sulla privacy che ha introdotto importanti novità per professionisti e imprese nell’ambito delle regole sul trattamento dei dati personali. In caso di violazione delle nuove regole saranno imposte pesanti sanzioni amministrative e penali.
Non mancano dubbi, incertezze e problemi di carattere formale e operativo: cosa far per adeguarsi al GDPR, cosa cambia e quali sono le novità introdotte per tutelare i consumatori?
Particolare attenzione è rivolta alle sanzioni previste dal testo del nuovo regolamento che potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo. La situazione non è ancora chiara: il decreto di adeguamento dell’Italia al GDPR è in ritardo ma, nonostante ciò, la Guardia di Finanza ha dichiarato che i controlli saranno avviati tempestivamente.
Facciamo un po’ di chiarezza su questo GDPR, General Data Protection Regulation. Con questo nuovo regolamento, l’Unione Europea ha voluto introdurre nuove regole in materia di protezione delle persone fisiche in merito al trattamento dei dati personali e alla libera circolazione degli stessi.
Le novità
Le novità principali riguardano le regole su tale trattamento che non potrà essere illimitato nel tempo ma funzionale al motivo per il quale i dati sono stati raccolti. Il consenso del consumatore/cliente, inoltre, dovrà essere esplicito e le modalità di utilizzo dei dati dovranno essere spiegate in modo chiaro e semplice.
Il Garante per la privacy ha pubblicato una breve guida per spiegare cosa cambia con il nuovo regolamento UE.
Cosa cambia dal 25 maggio 2018
Le novità introdotte riguardano maggiori tutele per i consumatori e maggiori responsabilità per le imprese.
Il giorno in cui il nuovo regolamento privacy 2018 è diventato pienamente operativo si è svolto a Roma il Privacy Day Forum durante il quale sono stati forniti alcuni interessanti dettagli sulle novità previste dal GDPR.
L’aspetto su cui si sono soffermati maggiormente gli esperti di settore è stato il profilo sanzionatorio, sottolineando le incertezze dovute ai ritardi nell’approvazione del decreto legislativo, all’interno del quale dovranno essere chiarite le modalità di applicazione delle stesse.
Il GDPR stabilisce soltanto le sanzioni massime applicabili a imprese e professionisti; il regolamento privacy 2018 prevede che, in caso di mancato adempimento degli obblighi previsti, le stesse saranno ispirate ai principi di effettività, proporzionalità e dissuasività.
Marco Menegazzo, Comandante del Nucleo Speciale Privacy della Guardia di Finanza, ha spiegato che le sanzioni saranno applicate dall’Autorità Garante sulla base degli elementi raccolti durante le ispezioni.
Gli adempimenti obbligatori
Nello specifico, il Comandante del Nucleo Speciale Privacy della Guardia di Finanza ha chiarito che le ispezioni partiranno da subito per quanto riguarda gli adempimenti obbligatori e fondamentali per l’adeguamento al GDPR.
Vediamo i passi principali:
· Nomina del DPO, il responsabile della protezione dati;
· Controlli sulle misure previste in caso di data breach, da intendere non come situazioni estreme ma come tutti quei casi di perdita accidentale e occasionale di dati, come il furto di un PC, di un hard-disk;
· Registro dei trattamenti: sarà la base dell’attività ispettiva, il punto di partenza per la Guardia di Finanza per valutare le misure messe in atto per la tutela della privacy.
Alla base dei nuovi controlli vi è la capacità per l’impresa o per il professionista di saper rendere conto delle valutazioni fatte. In tal senso sarà centrale il ruolo del DPO, il responsabile della protezione dati mentre non è stato chiarito come saranno i controlli sulla privacy nelle PMI in cui non è obbligatoria la nomina.
Alla luce dei chiarimenti forniti, cerchiamo di capire alcune delle principali novità che riguarderanno anche le PMI.
1. Informativa
Tra le principali novità del nuovo regolamento UE sulla privacy vi sono le nuove regole in materia di informativa e consenso: dovrà essere chiara e di facile comprensione e per far ciò si potranno usare delle icone, che tuttavia dovranno essere uguali in tutta Europa.
Prendiamo, ad esempio, il caso di un’agenzia di viaggi: l’informativa al trattamento dei dati dovrà spiegare in maniera semplice e con un linguaggio di facile comprensione come saranno utilizzati i dati e per quanto tempo saranno conservati nelle banche dati. Se tali dati saranno utilizzati con finalità di marketing, ovvero qualora dovranno essere condivisi con altre aziende he si occupano del settore viaggi e tempo libero, nell’informativa privacy dovrà essere indicato ai clienti in maniera esplicita che i propri dati potrebbero essere trasferiti a terzi per finalità di marketing. Nel caso di mancato consenso, l’agenzia viaggi non potrà comunicare i dati dell’azienda stessa.
2. Consenso
Il consenso al trattamento dei dati personali dovrà continuare a essere preventivo e inequivocabile. Quel che cambia è la modalità per esprimerlo: non varrà mai la regola dei chi tace acconsente; il consenso dovrà essere esplicito e mai basato ponendo all’interessato una serie di opzioni già selezionate.
Se l’azienda, negli anni precedenti, ha raccolto il consenso dei propri clienti utilizzando il sistema delle caselle precompilate, ora dovrà chiedere ai clienti già “consenzienti” l’autorizzazione al trattamento dei dati utilizzando le nuove modalità previste dal GDPR.
Il consumatore potrà revocare il proprio consenso in ogni momento e l’azienda sarà obbligata a cancellare tutti i dati raccolti.
Il nuovo regolamento sulla privacy, inoltre, prevede modifiche anche alle modalità di raccolta del consenso in caso di minori, per la fruizione di servizi su internet e social media: per chi ha meno di 16 anni sarà necessario il consenso al trattamento dei genitori o di chi esercita la potestà genitoriale.
3. Portabilità dei dati
Una novità che interesserà soprattutto i consumatori che, secondo quanto previsto dal regolamento privacy, consentirà a partire dal 25 maggio 2018, di richiedere il trasferimento dei propri dati personali da un titolare del trattamento ad un altro. Si potrà, ad esempio, cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati, come accade in caso del cambio di gestore dell’energia.
4. Diritto all’oblio e conservazione limitata
In merito al diritto all’oblio, il consumatore potrà richiedere la cancellazione dei propri dati personali online se i dati sono trattati solo sulla base del consenso, se non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, se sono trattati illecitamente o se l’interessato si oppone legittimamente al loro trattamento.
Tipico esempio è il caso di richiesta di cancellazione di un articolo pubblicato su internet. Il diritto all’oblio sarà escluso qualora si tratti di informazioni di interesse generale o siano necessari per finalità storiche, statistiche o scientifiche.
Al diritto all’oblio si collega anche un’ulteriore novità prevista dal GDPR: la conservazione dei dati non potrà essere illimitata ma la durata del trattamento dovrà essere collegata alla finalità per la quale è stato richiesto il consenso.
Ad esempio, un’azienda che si occupa di selezione del personale e che richiede il consenso al trattamento dei dati relativi ai curriculum trasmessi, potrà conservare gli stessi per un periodo proporzionato all’attività di ricerca del personale nel medio e lungo termine.
5. Violazione dei dati personali
In caso di violazione, il cosiddetto data breach, il titolare del trattamento dei dati è tenuto a darne comunicazione all’Autorità Garante. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.
Un esempio pertinente è quello di un’azienda che si occupa di servizi di archiviazione in cloud. In questo caso sarà necessario prima notificare la violazione dei dati al cliente e questi, on quanto titolare, dovrà darne comunicazione agli interessati e informare il Garante.
CHI È IL DPO E QUANDO DEVE ESSERE NOMINATO
Tra le novità introdotte dal GDPR vi è il DPO (Data Protection Officer – Responsabile della protezione dei dati), la figura definita come l’alleato nella tutela dei dati del cliente.
Le funzioni del DPO, e i casi in cui deve essere nominato, sono contenute all’interno del Regolamento sulla Privacy. L’istituzione di tale figura è necessaria nei seguenti casi:
· Quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, ad eccezione delle autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
· Quando le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
· Quando le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel suddetto trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Il Responsabile della protezione dei dati potrà essere nominato internamente o esternamente all’azienda e dovrà essere dotato di competenze giuridiche, informatiche, di gestione del rischio e analisi dei processi.
Il suo compito sarà quello di gestire il trattamento dei dati raccolti dall’azienda, nella rispetto della normativa sulla privacy.
I soggetti pubblici e privati dovranno comunicare al Garante il nome del DPO qualora designato; questo perché, sulla base dell’articolo 39, paragrafo 1, lettera e) del Regolamento, il Responsabile della Protezione dei Dati funge da punto di contatto fra il singolo ente o azienda e il Garante.
Sul sito www.garanteprivacy.it è disponibile una procedura online per la comunicazione del nominativo.
PMI ESONERATE DALL’OBBLIGO DI TENUTA DEL REGISTRO DEI TRATTAMENTI
Il nuovo regolamento sulla privacy introduce l’obbligo di tenuta del registro dei trattamenti. Si tratta di un documento all’interno del quale bisognerà indicare le caratteristiche del titolare e del responsabile del trattamento: potrà essere utilizzato a fini di controllo ma serve soprattutto all’impresa come strumento di valutazione delle attività poste in essere.
L’obbligo di tenuta del registri riguarda tutti i titolari e i responsabili del trattamento dei dati personali, con l’esclusione delle PMI con meno di 250 dipendenti.
L’obbligo, tuttavia, si estende anche alle piccole e medie imprese qualora il trattamento dei dati si configuri come un rischio per i diritti e le libertà dell’interessato, qualora il trattamento non sia occasionale o se riguardi particolari tipologie di dati.
Non mancano dubbi, incertezze e problemi di carattere formale e operativo: cosa far per adeguarsi al GDPR, cosa cambia e quali sono le novità introdotte per tutelare i consumatori?
Particolare attenzione è rivolta alle sanzioni previste dal testo del nuovo regolamento che potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo. La situazione non è ancora chiara: il decreto di adeguamento dell’Italia al GDPR è in ritardo ma, nonostante ciò, la Guardia di Finanza ha dichiarato che i controlli saranno avviati tempestivamente.
Facciamo un po’ di chiarezza su questo GDPR, General Data Protection Regulation. Con questo nuovo regolamento, l’Unione Europea ha voluto introdurre nuove regole in materia di protezione delle persone fisiche in merito al trattamento dei dati personali e alla libera circolazione degli stessi.
Cosa cambia dal 25 maggio 2018
Le novità introdotte riguardano maggiori tutele per i consumatori e maggiori responsabilità per le imprese.
Il giorno in cui il nuovo regolamento privacy 2018 è diventato pienamente operativo si è svolto a Roma il Privacy Day Forum durante il quale sono stati forniti alcuni interessanti dettagli sulle novità previste dal GDPR.
L’aspetto su cui si sono soffermati maggiormente gli esperti di settore è stato il profilo sanzionatorio, sottolineando le incertezze dovute ai ritardi nell’approvazione del decreto legislativo, all’interno del quale dovranno essere chiarite le modalità di applicazione delle stesse.
Il GDPR stabilisce soltanto le sanzioni massime applicabili a imprese e professionisti; il regolamento privacy 2018 prevede che, in caso di mancato adempimento degli obblighi previsti, le stesse saranno ispirate ai principi di effettività, proporzionalità e dissuasività.
Marco Menegazzo, Comandante del Nucleo Speciale Privacy della Guardia di Finanza, ha spiegato che le sanzioni saranno applicate dall’Autorità Garante sulla base degli elementi raccolti durante le ispezioni.
Gli adempimenti obbligatori
Nello specifico, il Comandante del Nucleo Speciale Privacy della Guardia di Finanza ha chiarito che le ispezioni partiranno da subito per quanto riguarda gli adempimenti obbligatori e fondamentali per l’adeguamento al GDPR.
Vediamo i passi principali:
· Nomina del DPO, il responsabile della protezione dati;
· Controlli sulle misure previste in caso di data breach, da intendere non come situazioni estreme ma come tutti quei casi di perdita accidentale e occasionale di dati, come il furto di un PC, di un hard-disk;
· Registro dei trattamenti: sarà la base dell’attività ispettiva, il punto di partenza per la Guardia di Finanza per valutare le misure messe in atto per la tutela della privacy.
Alla base dei nuovi controlli vi è la capacità per l’impresa o per il professionista di saper rendere conto delle valutazioni fatte. In tal senso sarà centrale il ruolo del DPO, il responsabile della protezione dati mentre non è stato chiarito come saranno i controlli sulla privacy nelle PMI in cui non è obbligatoria la nomina.
Alla luce dei chiarimenti forniti, cerchiamo di capire alcune delle principali novità che riguarderanno anche le PMI.
1. Informativa
Tra le principali novità del nuovo regolamento UE sulla privacy vi sono le nuove regole in materia di informativa e consenso: dovrà essere chiara e di facile comprensione e per far ciò si potranno usare delle icone, che tuttavia dovranno essere uguali in tutta Europa.
Prendiamo, ad esempio, il caso di un’agenzia di viaggi: l’informativa al trattamento dei dati dovrà spiegare in maniera semplice e con un linguaggio di facile comprensione come saranno utilizzati i dati e per quanto tempo saranno conservati nelle banche dati. Se tali dati saranno utilizzati con finalità di marketing, ovvero qualora dovranno essere condivisi con altre aziende he si occupano del settore viaggi e tempo libero, nell’informativa privacy dovrà essere indicato ai clienti in maniera esplicita che i propri dati potrebbero essere trasferiti a terzi per finalità di marketing. Nel caso di mancato consenso, l’agenzia viaggi non potrà comunicare i dati dell’azienda stessa.
2. Consenso
Il consenso al trattamento dei dati personali dovrà continuare a essere preventivo e inequivocabile. Quel che cambia è la modalità per esprimerlo: non varrà mai la regola dei chi tace acconsente; il consenso dovrà essere esplicito e mai basato ponendo all’interessato una serie di opzioni già selezionate.
Se l’azienda, negli anni precedenti, ha raccolto il consenso dei propri clienti utilizzando il sistema delle caselle precompilate, ora dovrà chiedere ai clienti già “consenzienti” l’autorizzazione al trattamento dei dati utilizzando le nuove modalità previste dal GDPR.
Il consumatore potrà revocare il proprio consenso in ogni momento e l’azienda sarà obbligata a cancellare tutti i dati raccolti.
Il nuovo regolamento sulla privacy, inoltre, prevede modifiche anche alle modalità di raccolta del consenso in caso di minori, per la fruizione di servizi su internet e social media: per chi ha meno di 16 anni sarà necessario il consenso al trattamento dei genitori o di chi esercita la potestà genitoriale.
3. Portabilità dei dati
Una novità che interesserà soprattutto i consumatori che, secondo quanto previsto dal regolamento privacy, consentirà a partire dal 25 maggio 2018, di richiedere il trasferimento dei propri dati personali da un titolare del trattamento ad un altro. Si potrà, ad esempio, cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati, come accade in caso del cambio di gestore dell’energia.
4. Diritto all’oblio e conservazione limitata
In merito al diritto all’oblio, il consumatore potrà richiedere la cancellazione dei propri dati personali online se i dati sono trattati solo sulla base del consenso, se non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, se sono trattati illecitamente o se l’interessato si oppone legittimamente al loro trattamento.
Tipico esempio è il caso di richiesta di cancellazione di un articolo pubblicato su internet. Il diritto all’oblio sarà escluso qualora si tratti di informazioni di interesse generale o siano necessari per finalità storiche, statistiche o scientifiche.
Al diritto all’oblio si collega anche un’ulteriore novità prevista dal GDPR: la conservazione dei dati non potrà essere illimitata ma la durata del trattamento dovrà essere collegata alla finalità per la quale è stato richiesto il consenso.
Ad esempio, un’azienda che si occupa di selezione del personale e che richiede il consenso al trattamento dei dati relativi ai curriculum trasmessi, potrà conservare gli stessi per un periodo proporzionato all’attività di ricerca del personale nel medio e lungo termine.
5. Violazione dei dati personali
In caso di violazione, il cosiddetto data breach, il titolare del trattamento dei dati è tenuto a darne comunicazione all’Autorità Garante. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.
Un esempio pertinente è quello di un’azienda che si occupa di servizi di archiviazione in cloud. In questo caso sarà necessario prima notificare la violazione dei dati al cliente e questi, on quanto titolare, dovrà darne comunicazione agli interessati e informare il Garante.
CHI È IL DPO E QUANDO DEVE ESSERE NOMINATO
Tra le novità introdotte dal GDPR vi è il DPO (Data Protection Officer – Responsabile della protezione dei dati), la figura definita come l’alleato nella tutela dei dati del cliente.
Le funzioni del DPO, e i casi in cui deve essere nominato, sono contenute all’interno del Regolamento sulla Privacy. L’istituzione di tale figura è necessaria nei seguenti casi:
· Quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, ad eccezione delle autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
· Quando le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
· Quando le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel suddetto trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Il Responsabile della protezione dei dati potrà essere nominato internamente o esternamente all’azienda e dovrà essere dotato di competenze giuridiche, informatiche, di gestione del rischio e analisi dei processi.
Il suo compito sarà quello di gestire il trattamento dei dati raccolti dall’azienda, nella rispetto della normativa sulla privacy.
I soggetti pubblici e privati dovranno comunicare al Garante il nome del DPO qualora designato; questo perché, sulla base dell’articolo 39, paragrafo 1, lettera e) del Regolamento, il Responsabile della Protezione dei Dati funge da punto di contatto fra il singolo ente o azienda e il Garante.
Sul sito www.garanteprivacy.it è disponibile una procedura online per la comunicazione del nominativo.
PMI ESONERATE DALL’OBBLIGO DI TENUTA DEL REGISTRO DEI TRATTAMENTI
Il nuovo regolamento sulla privacy introduce l’obbligo di tenuta del registro dei trattamenti. Si tratta di un documento all’interno del quale bisognerà indicare le caratteristiche del titolare e del responsabile del trattamento: potrà essere utilizzato a fini di controllo ma serve soprattutto all’impresa come strumento di valutazione delle attività poste in essere.
L’obbligo di tenuta del registri riguarda tutti i titolari e i responsabili del trattamento dei dati personali, con l’esclusione delle PMI con meno di 250 dipendenti.
L’obbligo, tuttavia, si estende anche alle piccole e medie imprese qualora il trattamento dei dati si configuri come un rischio per i diritti e le libertà dell’interessato, qualora il trattamento non sia occasionale o se riguardi particolari tipologie di dati.
Il giorno in cui il nuovo regolamento privacy 2018 è diventato pienamente operativo si è svolto a Roma il Privacy Day Forum durante il quale sono stati forniti alcuni interessanti dettagli sulle novità previste dal GDPR.
L’aspetto su cui si sono soffermati maggiormente gli esperti di settore è stato il profilo sanzionatorio, sottolineando le incertezze dovute ai ritardi nell’approvazione del decreto legislativo, all’interno del quale dovranno essere chiarite le modalità di applicazione delle stesse.
Il GDPR stabilisce soltanto le sanzioni massime applicabili a imprese e professionisti; il regolamento privacy 2018 prevede che, in caso di mancato adempimento degli obblighi previsti, le stesse saranno ispirate ai principi di effettività, proporzionalità e dissuasività.
Marco Menegazzo, Comandante del Nucleo Speciale Privacy della Guardia di Finanza, ha spiegato che le sanzioni saranno applicate dall’Autorità Garante sulla base degli elementi raccolti durante le ispezioni.
Gli adempimenti obbligatori
Nello specifico, il Comandante del Nucleo Speciale Privacy della Guardia di Finanza ha chiarito che le ispezioni partiranno da subito per quanto riguarda gli adempimenti obbligatori e fondamentali per l’adeguamento al GDPR.
Vediamo i passi principali:
· Nomina del DPO, il responsabile della protezione dati;
· Controlli sulle misure previste in caso di data breach, da intendere non come situazioni estreme ma come tutti quei casi di perdita accidentale e occasionale di dati, come il furto di un PC, di un hard-disk;
· Registro dei trattamenti: sarà la base dell’attività ispettiva, il punto di partenza per la Guardia di Finanza per valutare le misure messe in atto per la tutela della privacy.
Alla base dei nuovi controlli vi è la capacità per l’impresa o per il professionista di saper rendere conto delle valutazioni fatte. In tal senso sarà centrale il ruolo del DPO, il responsabile della protezione dati mentre non è stato chiarito come saranno i controlli sulla privacy nelle PMI in cui non è obbligatoria la nomina.
Alla luce dei chiarimenti forniti, cerchiamo di capire alcune delle principali novità che riguarderanno anche le PMI.
1. Informativa
Tra le principali novità del nuovo regolamento UE sulla privacy vi sono le nuove regole in materia di informativa e consenso: dovrà essere chiara e di facile comprensione e per far ciò si potranno usare delle icone, che tuttavia dovranno essere uguali in tutta Europa.
Prendiamo, ad esempio, il caso di un’agenzia di viaggi: l’informativa al trattamento dei dati dovrà spiegare in maniera semplice e con un linguaggio di facile comprensione come saranno utilizzati i dati e per quanto tempo saranno conservati nelle banche dati. Se tali dati saranno utilizzati con finalità di marketing, ovvero qualora dovranno essere condivisi con altre aziende he si occupano del settore viaggi e tempo libero, nell’informativa privacy dovrà essere indicato ai clienti in maniera esplicita che i propri dati potrebbero essere trasferiti a terzi per finalità di marketing. Nel caso di mancato consenso, l’agenzia viaggi non potrà comunicare i dati dell’azienda stessa.
2. Consenso
Il consenso al trattamento dei dati personali dovrà continuare a essere preventivo e inequivocabile. Quel che cambia è la modalità per esprimerlo: non varrà mai la regola dei chi tace acconsente; il consenso dovrà essere esplicito e mai basato ponendo all’interessato una serie di opzioni già selezionate.
Se l’azienda, negli anni precedenti, ha raccolto il consenso dei propri clienti utilizzando il sistema delle caselle precompilate, ora dovrà chiedere ai clienti già “consenzienti” l’autorizzazione al trattamento dei dati utilizzando le nuove modalità previste dal GDPR.
Il consumatore potrà revocare il proprio consenso in ogni momento e l’azienda sarà obbligata a cancellare tutti i dati raccolti.
Il nuovo regolamento sulla privacy, inoltre, prevede modifiche anche alle modalità di raccolta del consenso in caso di minori, per la fruizione di servizi su internet e social media: per chi ha meno di 16 anni sarà necessario il consenso al trattamento dei genitori o di chi esercita la potestà genitoriale.
3. Portabilità dei dati
Una novità che interesserà soprattutto i consumatori che, secondo quanto previsto dal regolamento privacy, consentirà a partire dal 25 maggio 2018, di richiedere il trasferimento dei propri dati personali da un titolare del trattamento ad un altro. Si potrà, ad esempio, cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati, come accade in caso del cambio di gestore dell’energia.
4. Diritto all’oblio e conservazione limitata
In merito al diritto all’oblio, il consumatore potrà richiedere la cancellazione dei propri dati personali online se i dati sono trattati solo sulla base del consenso, se non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, se sono trattati illecitamente o se l’interessato si oppone legittimamente al loro trattamento.
Tipico esempio è il caso di richiesta di cancellazione di un articolo pubblicato su internet. Il diritto all’oblio sarà escluso qualora si tratti di informazioni di interesse generale o siano necessari per finalità storiche, statistiche o scientifiche.
Al diritto all’oblio si collega anche un’ulteriore novità prevista dal GDPR: la conservazione dei dati non potrà essere illimitata ma la durata del trattamento dovrà essere collegata alla finalità per la quale è stato richiesto il consenso.
Ad esempio, un’azienda che si occupa di selezione del personale e che richiede il consenso al trattamento dei dati relativi ai curriculum trasmessi, potrà conservare gli stessi per un periodo proporzionato all’attività di ricerca del personale nel medio e lungo termine.
5. Violazione dei dati personali
In caso di violazione, il cosiddetto data breach, il titolare del trattamento dei dati è tenuto a darne comunicazione all’Autorità Garante. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.
Un esempio pertinente è quello di un’azienda che si occupa di servizi di archiviazione in cloud. In questo caso sarà necessario prima notificare la violazione dei dati al cliente e questi, on quanto titolare, dovrà darne comunicazione agli interessati e informare il Garante.
CHI È IL DPO E QUANDO DEVE ESSERE NOMINATO
Tra le novità introdotte dal GDPR vi è il DPO (Data Protection Officer – Responsabile della protezione dei dati), la figura definita come l’alleato nella tutela dei dati del cliente.
Le funzioni del DPO, e i casi in cui deve essere nominato, sono contenute all’interno del Regolamento sulla Privacy. L’istituzione di tale figura è necessaria nei seguenti casi:
· Quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, ad eccezione delle autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
· Quando le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
· Quando le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel suddetto trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Il Responsabile della protezione dei dati potrà essere nominato internamente o esternamente all’azienda e dovrà essere dotato di competenze giuridiche, informatiche, di gestione del rischio e analisi dei processi.
Il suo compito sarà quello di gestire il trattamento dei dati raccolti dall’azienda, nella rispetto della normativa sulla privacy.
I soggetti pubblici e privati dovranno comunicare al Garante il nome del DPO qualora designato; questo perché, sulla base dell’articolo 39, paragrafo 1, lettera e) del Regolamento, il Responsabile della Protezione dei Dati funge da punto di contatto fra il singolo ente o azienda e il Garante.
Sul sito www.garanteprivacy.it è disponibile una procedura online per la comunicazione del nominativo.
PMI ESONERATE DALL’OBBLIGO DI TENUTA DEL REGISTRO DEI TRATTAMENTI
Il nuovo regolamento sulla privacy introduce l’obbligo di tenuta del registro dei trattamenti. Si tratta di un documento all’interno del quale bisognerà indicare le caratteristiche del titolare e del responsabile del trattamento: potrà essere utilizzato a fini di controllo ma serve soprattutto all’impresa come strumento di valutazione delle attività poste in essere.
L’obbligo di tenuta del registri riguarda tutti i titolari e i responsabili del trattamento dei dati personali, con l’esclusione delle PMI con meno di 250 dipendenti.
L’obbligo, tuttavia, si estende anche alle piccole e medie imprese qualora il trattamento dei dati si configuri come un rischio per i diritti e le libertà dell’interessato, qualora il trattamento non sia occasionale o se riguardi particolari tipologie di dati.
Vediamo i passi principali:
· Nomina del DPO, il responsabile della protezione dati;
· Controlli sulle misure previste in caso di data breach, da intendere non come situazioni estreme ma come tutti quei casi di perdita accidentale e occasionale di dati, come il furto di un PC, di un hard-disk;
· Registro dei trattamenti: sarà la base dell’attività ispettiva, il punto di partenza per la Guardia di Finanza per valutare le misure messe in atto per la tutela della privacy.
Alla base dei nuovi controlli vi è la capacità per l’impresa o per il professionista di saper rendere conto delle valutazioni fatte. In tal senso sarà centrale il ruolo del DPO, il responsabile della protezione dati mentre non è stato chiarito come saranno i controlli sulla privacy nelle PMI in cui non è obbligatoria la nomina.
Alla luce dei chiarimenti forniti, cerchiamo di capire alcune delle principali novità che riguarderanno anche le PMI.
1. Informativa
Tra le principali novità del nuovo regolamento UE sulla privacy vi sono le nuove regole in materia di informativa e consenso: dovrà essere chiara e di facile comprensione e per far ciò si potranno usare delle icone, che tuttavia dovranno essere uguali in tutta Europa.
Prendiamo, ad esempio, il caso di un’agenzia di viaggi: l’informativa al trattamento dei dati dovrà spiegare in maniera semplice e con un linguaggio di facile comprensione come saranno utilizzati i dati e per quanto tempo saranno conservati nelle banche dati. Se tali dati saranno utilizzati con finalità di marketing, ovvero qualora dovranno essere condivisi con altre aziende he si occupano del settore viaggi e tempo libero, nell’informativa privacy dovrà essere indicato ai clienti in maniera esplicita che i propri dati potrebbero essere trasferiti a terzi per finalità di marketing. Nel caso di mancato consenso, l’agenzia viaggi non potrà comunicare i dati dell’azienda stessa.
2. Consenso
Il consenso al trattamento dei dati personali dovrà continuare a essere preventivo e inequivocabile. Quel che cambia è la modalità per esprimerlo: non varrà mai la regola dei chi tace acconsente; il consenso dovrà essere esplicito e mai basato ponendo all’interessato una serie di opzioni già selezionate.
Se l’azienda, negli anni precedenti, ha raccolto il consenso dei propri clienti utilizzando il sistema delle caselle precompilate, ora dovrà chiedere ai clienti già “consenzienti” l’autorizzazione al trattamento dei dati utilizzando le nuove modalità previste dal GDPR.
Il consumatore potrà revocare il proprio consenso in ogni momento e l’azienda sarà obbligata a cancellare tutti i dati raccolti.
Il nuovo regolamento sulla privacy, inoltre, prevede modifiche anche alle modalità di raccolta del consenso in caso di minori, per la fruizione di servizi su internet e social media: per chi ha meno di 16 anni sarà necessario il consenso al trattamento dei genitori o di chi esercita la potestà genitoriale.
3. Portabilità dei dati
Una novità che interesserà soprattutto i consumatori che, secondo quanto previsto dal regolamento privacy, consentirà a partire dal 25 maggio 2018, di richiedere il trasferimento dei propri dati personali da un titolare del trattamento ad un altro. Si potrà, ad esempio, cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati, come accade in caso del cambio di gestore dell’energia.
4. Diritto all’oblio e conservazione limitata
In merito al diritto all’oblio, il consumatore potrà richiedere la cancellazione dei propri dati personali online se i dati sono trattati solo sulla base del consenso, se non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, se sono trattati illecitamente o se l’interessato si oppone legittimamente al loro trattamento.
Tipico esempio è il caso di richiesta di cancellazione di un articolo pubblicato su internet. Il diritto all’oblio sarà escluso qualora si tratti di informazioni di interesse generale o siano necessari per finalità storiche, statistiche o scientifiche.
Al diritto all’oblio si collega anche un’ulteriore novità prevista dal GDPR: la conservazione dei dati non potrà essere illimitata ma la durata del trattamento dovrà essere collegata alla finalità per la quale è stato richiesto il consenso.
Ad esempio, un’azienda che si occupa di selezione del personale e che richiede il consenso al trattamento dei dati relativi ai curriculum trasmessi, potrà conservare gli stessi per un periodo proporzionato all’attività di ricerca del personale nel medio e lungo termine.
5. Violazione dei dati personali
In caso di violazione, il cosiddetto data breach, il titolare del trattamento dei dati è tenuto a darne comunicazione all’Autorità Garante. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.
Un esempio pertinente è quello di un’azienda che si occupa di servizi di archiviazione in cloud. In questo caso sarà necessario prima notificare la violazione dei dati al cliente e questi, on quanto titolare, dovrà darne comunicazione agli interessati e informare il Garante.
Le funzioni del DPO, e i casi in cui deve essere nominato, sono contenute all’interno del Regolamento sulla Privacy. L’istituzione di tale figura è necessaria nei seguenti casi:
· Quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, ad eccezione delle autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
· Quando le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
· Quando le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel suddetto trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Il Responsabile della protezione dei dati potrà essere nominato internamente o esternamente all’azienda e dovrà essere dotato di competenze giuridiche, informatiche, di gestione del rischio e analisi dei processi.
Il suo compito sarà quello di gestire il trattamento dei dati raccolti dall’azienda, nella rispetto della normativa sulla privacy.
I soggetti pubblici e privati dovranno comunicare al Garante il nome del DPO qualora designato; questo perché, sulla base dell’articolo 39, paragrafo 1, lettera e) del Regolamento, il Responsabile della Protezione dei Dati funge da punto di contatto fra il singolo ente o azienda e il Garante.
Sul sito www.garanteprivacy.it è disponibile una procedura online per la comunicazione del nominativo.